LINUX.ORG.RU

Редирект HTTPS

 ,


0

2

Все привет;

Ребята, как можно редиректнуть https трафик на http?

Мне нужно что то типа captive portal. Все клиенты wifi точки редиректятся на локальный веб сервер, где я получаю данные о клиенте и отправляю на сайт авторизации. С http работает отлично, а вот с https не знаю как быть.

PS Если поставить сертификат на роутер, то браузер ругается на то, что он самоподписанный

Так и редиректить с самоподписанным сертификатом.

Или написать в NSA и попросить наконец опубликовать какую-нибудь принципиальную багу в ssl, которая позволит подписывать произвольный контент нужным ключом без знания закрытого ключа.

GPFault ★★
()
Ответ на: комментарий от GPFault

Если с самоподписанным, то броузер выдает сообшение о том что он самоподписанный. А еще есть варианты?

maksspaces
() автор топика
Ответ на: комментарий от maksspaces

Возьми и прими в браузере сертификат.

Или хочешь, чтобы пользователи не имеющие отношения к твоей инфраструктуре гнали траффик в открытом виде до целевого https-сервeра?

anonymous
()

Если поставить сертификат на роутер, то браузер ругается на то, что он самоподписанный

Let's Encrypt

Radjah ★★★★★
()
Ответ на: комментарий от anonymous

Да. Это должно быть прозрачно для пользователей, как с http

maksspaces
() автор топика
Ответ на: комментарий от anonymous_sama

Вне зависимости от уровня перехвата - подмена ли dns или просто ловля всего трафика на 443 порт вне зависимости от destination, если в строке браузера будет написано https://site.com/ - на странице перенаправления браузер покажет красный сертификат (или страницу что сертификат некорректен).

И тут уже не важно будет ли он самоподписанный или подписанный Let's Encrypt и соответствовать https://some-captive-portal.com

Потому что «подставить вместо https://site.com/ страницу с редиректом» с точки зрения безопасности частный случай «подставить вместо настоящей страницы фальшивую», от чего и призван защищать https.

Правда если есть возможность добавить всем пользователям свой доверенный корневой сертификат - то задача становится частично решаемой.

Тогда, если по ip определять куда пользователь пытается подсоединиться и генерировать ему в ответ сертификат на соответсвующий домен https://site.com/ - то для некоторых сайтов это прокатит. Но это тоже способ подсунуть фальшивую страницу, применяемый на практике в Китае, поэтому в https появилась опция, которая запрещает замену сертификата. И для сайтов использующих эту опцию - данный вариант не пройдёт.

GPFault ★★
()
Ответ на: комментарий от GPFault

Не покажет и даже с pinning'ом не покажет, ведь автор сам для своего нормальный подписанного CA, который есть в браузере его добавит. А вообще достаточно будет дать только доступ в интернет для sitename c captive portal, это если автор еще DNSSEC и TLSA записи прикрутит, и нужно будет проверку по ip пройти.

anonymous_sama ★★★★★
()
Ответ на: комментарий от GPFault

В общем я уже понял что это фишка самого https, что просто так редиректить на нужный сервер не получится, ибо еще никакие данные не передаются, а проверка сертификата уже началась. Решение у меня элементарное - блокирование всего https трафика до момента авторизации пользователя

maksspaces
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.